(12) NACH DEM VERl|^LjBER DIE INTERNATIONALE ZUSAMMf^^EIT AUF DEM GEBIET DES 
PATENTWE^P (PCT) VEROFFENTLICHTE INTERNAT1(PILe ANMELDUNG 



(19) Weltorganisation fur geistiges Eigentum 
Internationales Biiro 

(43) Internationales Verdffentlichungsdatum 
28. November 2002 (28.11.2002) 




PCT 



(10) Internationale Veroffentlichungsnummer 

WO 02/095637 A2 



(51) Internationale Patentklassifikation 7 : G06F 17/60 

(21) Internationales Aktenzeichen: PCT/DE02/01646 

(22) Internationales Anmeldedatum: 

7. Mai 2002 (07.05.2002) 



(25) Einreichungssprache: 

(26) VerftfTentlicbungssprache: 



Deutsch 
Deutsch 



(30) Angaben zur Prioritiit: 

101 25 017.7 22. Mai 2001 (22.05.2001) DE 

(71) Anmelder(/wro//e BestimmungsstaatenmitAusnahmevon 
US): SIEMENS AKTIENGESELLSCHAFT [DE/DE]; 
Winelsbacherplatz 2, 80333 MUnchen (DE). 



(72) Erfinder; und 

(75) Erfinder/Ancnelder (nur JUr US): HAGN, Christine 
[DE/DE]; Rosenweg 4, 85375 Neufahm (DE). MARK- 
WITZ, Wernhard [DE/DE]; Reichenbachstr. 25, 80469 
MUnchen (DE). KAIJSER, Per (SE/DE]; Moarstr. 18, 
85737 Ismaning (DE). 

(74) Gemeinsamer Vertreter: SIEMENS AKTIENGE- 
SELLSCHAFT; Postfach 22 16 34, 80506 Miinchen 
(DE). 

(81) Bestimmungsstaat (national): US. 

(84) Bestimmungsstaatenfreg/ortfl/;: europajsches Patent (AT, 
BE, CH, CY, DE, DK, ES, FI, FR, GB , GR, TE, IT, LU, MC, 
NL, PT, SE, TR). 



[Fortsetzung auf der nachsten Seite] 



(54) Title: METHOD FOR PROVIDING SERVICES IN A DATA TRANSMISSION NETWORK AND ASSOCIATED COMPO- 
NENTS 

(54) Bezeichnung: VERFAHREN ZUM ERBRINGEN VON DBBNSTEN IN EINEM DATENtJBERTRAGUNGSNETC UND ZU- 
GEHORIGE KOMPONENTEN 



< 

IT) 

On 



SmardCaiti 
(SC) / 

20 y 




DNR A 
Nutter A 



32- CCW7RAL COMPUTER 

21- PUBLIC KEY IMrWASTRUCTURC (MCI) CWTEA 

30- OUTPUT SMART CAR0 (SCI 

14. ItfTERHET 

WUTKR A - USER A 

JS_ TEST UNIT f 

40.. DATABASE 

IS- ACCESS 



(57) Abstract: The invention relates to, among other things, a method according to which an access function (36) for a number of 
© service user computers ( 1 8) permits a connection between the service user computer ( 1 8) and a service provider computer (22 to 26), 
O Which is selected b y a SCTvice user ( A >> according to requests submitted by a service user computer (18). The insertion of an access 
5£ function (36), and the use of a test unit (38) make it possible to secure useful data that is to be processed in a reliant manner. 
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(57) Zusammenfassung: Erlautert wird unter anderem ein Verfahren, bei dem eine Zugangsfunktion (36) ftir mehrere Dienstnut- 
zungsrechner (18) abhangig von Anforderungen von der Seite eines Dienstnutzungsrechners (18) eine Verbindung zwischen dem 
Dienstnutzungsrechner (18) und einem durch einen Dienstnutzer (A) ausgewahJten Diensterbringungsrechner (22 bis 26) ermOg- 
licht. Das Zwischenschalten einer Zugangsfunktion (36) und das Verwenden einer Priifeinheit (38) ermoglicht die Sicherung von 
vertrauensvoll zu behandelnden Nutzdaten. 
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Beschreibung 



Verfahren zum Erbringen von Diensten in einem Dateniibertra- 
gungsnetz und zugehorige Komponenten 

Die Erfindung betrifft ein Verfahren, bei dem eine Zugangs- 
funktion fur mehrere Dienstnutzungsrechner eine Verbindung 
zwischen dem Dienstnutzungsrechner und einem Diensterbrin- 
gungsrechner ermoglicht. 

So lasst sich mit Hilfe der Zugangsf unktion die Internetseite 
eines Unternehmens aufrufen, das seine Dienstleistungen uber 
das Internet verkauft. Die Zugangsf unktion pruft unter ande- 
rem die Identitat des Dienstnutzers, beispielsweise durch 
Abfrage eines Passwortes. 

Bisher war es tiblich, dass jedes Unternehmen seine eigene 
Zugangsfunktion hatte und dass die Kundendaten von jedem 
Unternehmen einzeln und damit unter Umstanden mehrfach ge- 
speichert wofden sind. Die Sicherheit der Kundendaten ist bei 
einer solchen verteilten Speicherung der Kundendaten nur 
eingeschrankt gewahrleistet . Aufgrund dieser Einschrankungen 
der Sicherheit entwickelte sich ein Handel mit Kundendaten . 
Durch einen solchen Handel sinkt die Akzeptanz der 
Diensterbringungsverfahren uber das Internet erheblich, ins- 
besondere wenn Kundendaten gehandelt werden, die im Zusammen- 
hang mit der Kaufkraft, dem Kreditrahmen oder anderen finan- 
ziellen Daten der Kunden stehen. 



Es ist Aufgabe der Erfindung, zum Erbringen von Diensten in 
einem Datenubertragungsnet z ein einfaches Verfahren an- 
zugeben, das es insbesondere gestattet, Kundendaten vor Miss- 
brauch besser zu schutzen als bisher. Aufterdem sollen ein 
zugehoriges Programm und eine zugehorige Datenverarbeitungs- 
anlage angegeben werden. 
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Die auf das Verfahren bezogene Aufgabe wird durch die im 
Patentanspruch 1 angegebenen Verf ahrensschritte gelost. Wei- 
terbildungen sind in den Unteranspruchen angegeben. 

Die Erfindung geht von der Oberlegung aus, dass zum Sichern 
der Kundendaten ein erheblicher Auf wand erforderlich ist # der 
die Akzeptanz der Erbringung von Diensten uber das Internet 
auf der Seite der Dienstanbieter senken wurde. Um dem aber 
entgegenzuwirken, wird beim erf indungsgemaften Verfahren eine 
Zugangsfunktion verwendet, die eine Verbindung zwischen einem 
Dienstnutzungsrechner und einem von mehreren durch einen 
Dienstnutzer auswahlbaren Diensterbringungsrechner ermog- 
licht. Aufterdem wird eine zentrale Datenbank eingerichtet , in 
der fur die verschiedenen Dienstnutzer zu sichernde Nutzerda- 
ten gespeichert werden, die zur Erbringung der Dienste ver- 
schiedener Diensterbringungsrechner erforderlich sind. Durch 
diese Zentralisierung der Zugangsfunktion und der Datenbank 
lasst sich der Aufwand fur die Sicherung der Kundendaten auf 
eine Vielzahl verschiedener Diensterbringer verteilen. Die 
Akzeptanz auf der Seite der Diensterbringer steigt also. 

Durch das Verwenden der zentralen Datenbank kann auch den 
Dienstnutzern zugesichert werden, dass ihre Daten vor Miss- 
brauch geschiitzt sind. Somit erhoht sich die Akzeptanz von 
Verfahren zur Diensterbringung uber ein DatenUbertragungsnetz 
auch auf der Seite der Dienstnutzer. 

Das erf indungsgemafie Verfahren geht au/Jerdem von der Oberle- 
gung aus, dass die zu sichernden Kundendaten zwar im Rahmen 
der Diensterbringung erforderlich sind # jedoch nicht unbe- 
dingt dem Diensterbringer ubergeben werden mussen. Deshalb 
wird beim erf indungsgema/len Verfahren nach der Verbindungs- 
aufnahme zwischen einem Dienstnutzungsrechner und einem aus- 
gewahlten Diensterbringungsrechner im Rahmen der 
Diensterbringung fUr den den Dienstnutzungsrechner nutzenden 
Dienstnutzer an eine zentrale Prufeinheit eine Anforderung 
gestellt. Diese Anforderung betrifft beispielsweise die Zusi- 



WO 02/095637 



PCT/DE02/01646 



3 



cherung der Zahlungsf ahigkeit des Dienstnutzers . Die Anforde 
rung kann nur unter Zugriff auf zu sichernde Nutzerdaten des 
Dienstnutzers bearbeitet werden. So sind beispielsweise De- 
ckungszusagen einer Bank fur spatere Nachweiszwecke zu spei- 
chern. Andererseits wird aber auch eine fruhere Deckungszusa 
ge gelesen, falls sie noch gultig ist. Eine Prufeinheit, die 
unabhSngig von den Diensterbringungsrechnern arbeitet, bear- 
beitet die Anforderung unter Zugriff auf zu sichernden Nut- 
zerdaten des Dienstnutzers. Nur das Bearbeitungsergebnis 
nicht aber ein zu sicherndes Nutzerdatum selbst wird von der 
Prufeinheit an den die Anforderung stellenden Diensterbrin- 
gungsrechner ubermittelt. Der betreffende Diensterbringungs- 
rechner erbringt dann seinen Dienst abhangig vom Bearbei- 
tungsergebnis. Durch diese MafJnahme wird also erreicht, dass 
die zu sichernden Kundendaten selbst nicht an einen 
Diensterbringungsrechner ubermittelt werden mussen. Nur die 
Prufeinheit hat Zugriff auf die zu sichernden Daten. Damit 
ist ein Handel mit den zu sichernden Kundendaten erschwert 
und einem Missbrauch wird wirksam vorgebeugt . 

Bei einer Weiterbildung des erf indungsgemalien Verfahrens 
gehbren die Diensterbringungsrechner verschiedenen Betrei- 
bern. Nach der Anwahl eines Diensterbringungsrechners wird 
dessen Berechtigung zum Stellen von Anf orderungen mit Hilfe 
eines Berechtigungspriif verfahrens gepruft. Das Bearbeitungs- 
ergebnis wird nur bei bestehender Berechtigung von der Pruf- 
einheit an den Diensterbringungsrechner ubermittelt. Bei 
fehlender Berechtigung wird kein Bearbeitungsergebnis Uber- 
mittelt. Bei fehlender Berechtigung muss die Anforderung 
nicht bearbeitet werden. Durch das Prufen der Berechtigung 
zur Seite der Diensterbringungsrechner hin lasst sich gewahr- 
leisten, dass keine Anf orderungen durch Unberechtigte ge- 
stellt werden, welche die Bearbeitungsergebnisse dann miss- 
brauchlich verwenden konnten. 



Bei einer anderen Weiterbildung des erf indungsgemalien Verfah- 
rens werden die zu sichernden Nutzerdaten verschlusselt ge- 
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speichert. Die Diensterbringungsrechner haben keinen Zugang 
zu einem zum Entschlusseln erf orderlichen digitalen Schliis- 
sel. Das Verschliisselungsverf ahren bzw. ein zu verwendender 
Schliissel lasst sich mit Hilfe konstruktiver und/oder elek- 
tronischer SicherungsmaAnahmen geheimhalten . Selbst wenn die 
zu sichernden Kundendaten durch Unbefugte kopiert werden, 
sind diese nicht im Besitz des zum Entschlusseln erforderli- 
chen Schlussels. Damit bleiben die zu sichernden Daten trotz 
des unberechtigten Kopierens vor Missbrauch geschutzt. 

Bei einem zweiten Aspekt der Erfindung, der auch als eine 
nachsten Weiterbildung des erf indungsgemaften Verfahrens nach 
dem zuvor erlauterten Aspekt der Erfindung auftritt, sind in 
einer Datenbank Dienst-Nutzerdaten gespeichert, die dienstbe- 
zogene Daten fur die Dienstnutzer einzelner Diensterbrin- 
gungsrechner enthalten. Nach der Anwahl eines Diensterbrin- 
gungsrechners wird dessen Berechtigung zum Empfangen von 
Dienst-Nutzerdaten betreffend den durch ihn erbrachten Dienst 
gepruft. An den ausgewahlten Diensterbringungsrechner werden 
die angeforderten Dienst-Nutzerdaten nur bei bestehender 
Berechtigung ubermittelt. Obermittelt werden immer nur die 
dienstbezogenen Daten desjenigen Dienstnutzers, der den aus- 
gewahlten Diensterbringungsrechner ausgewahlt hat. Der 
Diensterbringungsrechner erbringt dann seinen Dienst unter 
Verwendung der ubermi ttelten Dienst-Nutzerdaten. Durch die 
Prufung der Berechtigung zum Empfangen von Dienst-Nutzerdaten 
lasst sich gewahrleisten, dass die Dienst-Nutzerdaten einzel- 
ner Diensterbringer nicht missbrauchlich an Dritte ubermit- 
telt werden. 

Bei einer Ausgestaltung ist die Datenbank zum Speichern der 
Dienst-Nutzerdaten Bestandteil der zentralen Datenbank. Bei 
einer anderen Ausgestaltung wird zum Prufen der Berechtigung 
fur das Stellen von Anf orderungen und zum Prufen der Berech- 
tigung fur das Empfangen von dienstbezogenen Dienst-Nutzer- 
daten dasselbe Prufverf ahren ausgefuhrt. Somit ist jeweils 
nur ein Berechtigungsprtif verf ahren auszufuhren. 
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Bei einer Weiterbildung des Verfahrens mit einer Datenbank 
fiir Dienst-Nutzerdaten sind die Dienst-Nutzerdaten verschliis- 
selt gespeichert und werden auch verschlUsselt ubertragen. 
Verschiedene Diensterbringungsrechner verwenden verschiedene 
digitale Schlussel zum Entschlusseln der Dienst-Nutzerdaten. 
Durch diese Mafinahme wird gewahrleistet , dass die Dienst- 
Nutzerdaten nur durch den berechtigten Diensterbringer ent- 
schlusselt werden konnen. Andere Diensterbringungsrechner und 
auch der Betreiber der Datenbanken sind nicht in der Lage, 
die Dienst-Nutzerdaten zu entschliisseln . Damit lassen sich 
die Dienst-Nutzerdaten wirksam vor Missbrauch schutzen. Die 
Speicherung der Dienst-Nutzerdaten aufterhalb des den Dienst 
erbringenden Unternehmens wird so leichter akzeptiert . 

Bei einer weiteren Ausgestaltung des Verfahrens mit Verwen- 
dung von Dienst-Nutzerdaten sind die Dienst-Nutzerdaten zu- 
satzlich oder alternativ mit einem zentralen VerschlQsse- 
lungsverfahren verschlUsselt . Zum Entschlusseln der mit dem 
zentralen Verschlusselungsverf ahren verschlusselten Nutzdaten 
wird ein digitaler Schlussel verwendet, zu dem die 
Diensterbringungsrechner keinen Zugang haben. Durch diese 
Maftnahme lassen sich sowohl von den Diensterbringungsrechnern 
kommende unverschlusselte Daten als auch verschlusselte Daten 
nach dem gleichen zentralen Verf ahren sicher speichern. Eine 
doppelte Verschlusselung bietet aufterdem eine zusatzliche 
Sicherheit gegen den Missbrauch der dienstbezogenen Daten. 

Bei einer anderen Weiterbildung des erf indungsgemalien Verfah- 
rens werden in einer von mehreren Diensterbringungsrechnern 
genutzten Datenbank digitale Daten uber Zahlungsvorgange fur 
verschiedene Diensterbringungsrechner gespeichert. Diese 
Datenbank ist beispielsweise Bestandteil der zentralen Daten- 
bank. Es lassen sich die oben genannten Verschlusselungsver- 
fahren auch zum Sichern der Daten Uber die Zahlungsvorgange 
einsetzen. Aufierdem wird eine Berechtigungspruf ung vor der 
Obermittlung der Daten uber die Zahlungsvorgange ausgefiihrt. 
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Bei einer weiteren Weiterbildung des erf indungsgemaflen Ver- 
fahrens wird die Berechtigung des Dienstnutzers unter Verwen- 
dung eines Berechtiaungspriifverf ahrens geprOft. Die Auswahl 
wird nur beim Vorliegen einer Berechtigung zugelassen. Durch 
diese Berechtigungspriif ung lasst sich ein Missbrauch von der 
Seite der Dienstnutzer her verhindern. 

Bei einer nachsten Weiterbildung wird die Berechtigungspru- 
fung bzw. werden die Berechtigungspriif ungen unter Verwendung 
von digitalen Schlusseln durchgefuhrt, die von mindestens 
einer Zertif izierungsstelle erzeugt worden sind. Die Zertifi- 
zierungsstelle selbst ist Teil einer Zertif izierungskette . 
Das Verwenden von digitalen Schlusseln bietet gegenuber dem 
Nutzen von Passwortern eine erhohte und beim zusatzlichen 
Verwenden von Passwortern eine zusatzliche Sicherheit. Eine 
Zertif izierungs-Infrastruktur lasst sich beispielsweise gemSli 
Standard X.509 der ITU-T (International Telecommunication 
Union - Telecommunication Sector) aufbauen. Eingesetzt werden 
aber auch andere Inf rastrukturen, z.B. eine Inf rastruktur 
gema/i den Vorgaben der IETF (Internet Engineering Task Force) 
im Request for Comment 2459, Januar 1999. Das Aufbauen sol- 
cher Inf rastrukturen und das Einbeziehen in das erf indungsge- 
maiJe Verfahren gewahrleistet alien beteiligten Seiten eine 
hohe Sicherheit. Beispielsweise lassen sich ungultige Schlus- 
sel auf einfache Art und Weise sperren. 

Bei einer anderen Weiterbildung wird ein geheimzuhaltender 
digitaler Schlussel fur das Verschlusseln eingesetzt. Der 
geheimzuhaltende SchlUssel wird in einer elektronisch gesi- 
cherten Speichereinheit gespeichert. Bei einer Ausgestaltung 
ist die gesicherte Speichereinheit Bestandteil einer soge- 
nannten Chipkarte, die einen eingegossenen Prozessor und die 
gesicherte Speichereinheit ent'hait. Die gesicherte Spei- 
chereinheit lasst sich ausschlieftlich durch diesen Prozessor 
lesen und schreiben. Vor dem Zugriff wird bei einer Ausges- 
taltung eine Berechtigungspriif ung ausgefuhrt, die beispiels- 
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weise die Abfrage eines Passwortes oder einer Geheimnummer 
enthalt. Vorzugsweise wird ein asymmetrisch.es VerschlUsse- 
lungsverf ahren eingesetzt. 

Bei einer anderen Weiterbildung des erf indungsgemaften Verfah- 
rens betrifft die Anforderung die Absicherung einer Zahlung. 
Die Absicherung der Zahlung ist das Kernstiick der 
Diensterbringung uber ein Datenubertragungsnet z und fur die 
Akzeptanz dieser Verf ahren daher besonders wichtig. So werden 
Anforderungen gestellt, mit denen durch einen Dritten die 
Haftung fur den Fall ubernommen wird, dass der Dienstnutzer 
den genutzten Dienst nicht zahlt. Diese Zusicherungen sind 
bei einer Ausgestaltung zeitlich begrenzt, beispielsweise auf 
einen Tag oder auf die Zeitdauer einer Verbindung zwischen 
Dienstnutzer und Diensterbringungsrechner. 

Bei einer anderen Weiterbildung des erf indungsgemaften Verfah- 
rens stellt die Prufeinheit zur Bearbeitung der Anforderung 
eine Anfrage zum Erhalt eines Zahlungszertif ikats an einen 
Zertif izierungsrechner. Der Zertif izierungsrechner erzeugt 
ein digitales Zahlungszertif ikat , das die Zahlung absichert. 
Das Zahlungszertif ikat wird dann uber die Prufeinheit zum 
Diensterbringungsrechner weitergeleitet . Auch zum Erzeugen 
des digitalen Zahlungszertif ikates werden bei einer Ausges- 
taltung Verschlusselungs- und/oder Unterschrif tsverf ahren 
unter Verwendung von digitalen Schlusseln eingesetzt, Auch 
der Zertif izierungsrechner ist bei einer Ausgestaltung Teil 
einer Zertif izierungsinf rastruktur . Die vom Zertif izierungs- 
rechner ausgestellten Zertifikate haben eine kurzere GUltig- 
keitsdauer als die Zertifikate fur die digitalen Schlussel. 
Durch die kurze Gult igkeitsdauer lasst sich ein Missbrauch 
der Zahlungszertif ikate bzw. Zahlungsat tribute besser verhin- 
dern. Ein Zertif izierungsrechner ist bei einer Ausgestaltung 
ein sogenannter TrustedA-Rechner (Trusted Authorizer) , wie er 
von der irischen Firma SSE verkauft wird, siehe www.sse.ie. 
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Bei einer alternativen Weiterbildung erzeugt die Prufeinheit 
bei der Bearbeitung der Anforderung selbst ein Zahlungszerti- 
fikat, das die Zahlung absichert. In diesem Fall ist die 
Prufeinheit beispielsweise im Besitz eines Bankinstitutes 
bzw. eines Kreditinstitutes . Das durch die Prufeinheit er- 
zeugte Zahlungszertif ikat wird auch an den Diensterbringungs- 
rechner weitergeleitet . Der Diensterbringungsrechner pruft 
dann beispielsweise das Zahlungszertif ikat und veranlasst die 
Diensterbringung, falls das Zahlungszertif ikat gultig ist und 
die Anforderung bestatigt. 

Bei einer nachsten Weiterbildung erbringen die Diensterbrin- 
gungsrechner die Funktionen elektronischer Kaufplattf ormen 
und/oder elektronischer Dienstleistungsplattf ormen, z.B.: 

- Abruf von Musikdaten, Videodaten oder Programmdaten, 

- e-Business, Bankgeschaf te, Handelgeschaf te, 

- Inf ormationsdienste, 

- sichere digitale Sprachiibertragung. 

Damit bietet die Zugangsf unktion dem Dienstnutzer Zugang 
beispielsweise zu einer virtuellen Einkauf smeile . Das erfin- 
dungsgemSfie Verfahren wird jedoch auch fur andere Dienste 
eingesetzt, bei denen zu sichernde Daten der Dienstnutzer in 
die Diensterbringung einbezogen werden, beispielsweise Kre- 
ditgeschaf te. 

Die Erfindung betrifft aufierdem ein Programm mit einer Be- 
fehlsfolge, bei deren Ausfuhrung durch einen Prozessor das 
erf indungsgemafie Verfahren oder eine seiner Weiterbildung 
ausgefiihrt wird. Aufierdem ist eine Datenverarbeitungsanlage 
geschtitzt, die ein solches Programm enthait. Fur das Programm 
und die Datenverarbeitungsanlage gelten somit die oben ge- 
nannten technischen Wirkungen. 



Zum Verschlusseln lassen sich asymmetrische Verschlusselungs- 
verfahren einsetzen, z.B. das RSA-Verf ahren (Revist, Shamir, 
Adleman) . Aber auch symmetrische Verfahren werden eingesetzt, 
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z.B. der dreifache DES-Algorithmus (Data Encryption Stan- 
dard) . Ein anderes gebrfiuchliches Verschliisselungsverf ahren 
ist beispielsweise das ECC-Verf ahren (Elliptic Curve Cryp- 
tographie) . 



Im Folgenden werden Ausf iihrungsbeispiele der Erfindung an 
Hand der beiliegenden Zeichnungen erlautert. Darin zeigen: 

Figur l ein Datenubertragungsnetz und einen Zentralrechner , 



Figur 3 die Bearbeitung einer Zahlungsf ahigkeitsanf rage, 



Figur 4 die Bearbeitung einer Attributanf rage . 

Figur 1 zeigt ein Datenubertragungsnetz 10, das einen Zent- 
20 ralrechner 12 enthalt. Bestandteil des Datenubertragungsnet- 

zes 10 sind auch das Internet 14 sowie ein Mobilf unknetz 16. 

Im Internet 14 werden digitale Daten gemaft Protokoll TCP/IP 

(Transmission Control Protocol/Internet Protocol) ubertragen. 

Im Mobilf unknetz 16 werden digitale Daten beispielsweise 
25 gemafi GSM-Standard (Global System for Mobile Communication) 

Oder gemafi UMTS-Standard (Universal Mobile Telecommunication 

System) ubertragen . 

Ober das Internet 14 oder das Mobilf unknetz 16 konnen eine 
30 Vielzahl von Dienstnutzern, beispielsweise mehrere Tausend, 
Verbindungen zwischen den von ihnen genutzten Endgeraten und 
dem Zentralrechner 12 aufbauen. In Figur 1 ist das EndgerSt 
18 eines Dienstnutzers A dargestellt. Das Endgerat 18 ist 
beispielsweise ein tragbarer Rechner oder ein Mobilf unkgerat 
35 und enthalt eine Smartkarte 20. 



5 



10 



Figur 2 



Verf ahrensschritte zur Erbringung des Dienstes 
"Buchkauf " , 



15 



und 
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Uber das Internet 14 und das Mobilf unknetz 16 lassen sich 
aufterdem Verbindungen zwischen einer Vielzahl von 
Diensterbringungsrechnern und dem Zentralrechner 12 aufbauen. 
Beispielsweise sind mehrere hundert Diensterbringungsrechner 
5 beim Zentralrechner 12 registriert. In Figur 1 sind zwei 
Diensterbringungsrechner 22 und 24 dargestellt, die 
Diensterbringern B und Z gehSren. Weitere Diensterbringungs- 
rechner 26 sind durch Punkte angedeutet. In den Diensterbrin- 
gungsrechnern 22 und 24 sind jeweils voneinander verschiedene 
10 digitale Zertifikate ZB bzw. ZZ gespeichert. 

Die Smartkarte 20, das Zertifikat ZB und das Zertifikat ZZ 
sind von einem PKI -Zentrum 28 (public key infrastructure) 
ausgegeben worden, nachdem die Identitat des Dienstnut zers A, 
15 des Diensterbringers B bzw. des Diensterbringers Z durch eine 
lokale Ausgabestelle gepruft worden sind. Die lokale Ausgabe- 
stelle wird auch als LRA-Stelle (Local Registration Authori- 
ty) bezeichnet. Die Ausgabe der Smartkarte 20 bzw. des Zerti- 
fikates ZB wird durch einen Pfeil 30 bzw. 32 verdeutlicht . 

20 

Wird die Smartkarte 20 oder ein Zertifikat ZB, ZZ gesperrt, 
so benachrichtigt das PKI -Zentrum 28 den Zentralrechner 12 , 
siehe Pfeil 34. Der Zentralrechner 12 schliefit dann die un- 
gultige Smartkarte 20 bzw, die ungultigen Zertifikate ZB, ZZ 
25 bei Berechtigungspruf ungen von weiteren Transaktionen aus. 

Der Zentralrechner 12 ist ein sehr leistungsstarker Rechner 
und enthalt eine Zugangseinheit 36, eine Priifeinheit 38 und 
eine Datenbank 40 . Die Zugangseinheit 36 stellt eine Zugangs- 

30 moglichkeit fur die Dienstnutzungsrechner 18 dar und ist mit 
dem Internet 14 und dem Mobilf unknetz 16 verbunden. Aufberdem 
lassen sich uber die Zugangseinheit 36 die Verbindungen zwi- 
schen dem Zentralrechner 12 und den Diensterbringungsrechnern 
22 bis 26 aufbauen, siehe Verbindungen 42 und 44. Die Zu- 

35 gangseinheit 36 fuhrt auch Berechtigungspruf ungen durch, die 
unten an Hand der Figur 2 naher erlautert werden. 
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Die Prufeinheit 38 pruft, ob fur einen Dienstnutzer die Ge- 
wahr iibernommen werden kann, dass er zahlungsf ahig ist, Dazu 
wird ein sogenanntes Zahlungsattribut erzeugt . Die dabei 
ausgefuhrten Verf ahrensschritte werden unten an Hand der 
Figuren 3 und 4 n^her erlautert. 

Die Zugangseinheit 36 und die Prufeinheit 38 haben Zugriff 
auf die Datenbank 40. In der Datenbank 40 sind Dienstnutzer- 
profile 46 und Dienst-Nutzerdaten 48 gespeichert. Die Daten- 
bank 40 wird mit einem kommerziell verfugbaren Verzeichnis- 
verwaltungsprogramm verwaltet, z.B. mit dem Programm DIRX der 
Firma SIEMENS AG, Die Dienstnutzerprof ile 46 enthalten Daten 
uber die Gewohnheiten der Dienstnutzer bei der Auswahl der 
Diensterbringungsrechner 22 bis 24. Aufterdem enthalten die 
Dienstnutzerprof ile 46 beispielsweise Angaben uber einen 
Kreditrahmen, bis zu dem der Betreiber des Zentralrechners 
die Gewahr fur die Zahlungsf ahigkeit der Dienstnutzer uber- 
nimmt . Die Dienst-Nutzerdaten 48 gehoren, abhangig vom be- 
troffenen Dienst, dem Erbringer dieses Dienstes. Beispiels- 
weise enthalten Dienst-Nutzerdaten 48 fur den Dienst "Buch- 
verkauf", der durch den Diensterbringungsrechner 22 erbracht 
wird, die folgenden Angaben: 

die bereits durch einen Dienstnutzer bestellten Bucher, 

ein Kennzeichen fur den Dienstnutzer, und 

Angaben uber vom Dienstnutzer noch nicht beglichene Rech- 

nungen im Zusammenhang mit den Buchkaufen. 

Die Dienstnutzerprof ile 46 sind mit einem sogenannten offent- 
lichen Schliissel Sl-E (Encryption) verschlusselt . Beim Lesen 
der Dienstnutzerprof ile 46 aus der Datenbank 40 werden die 
Daten mit Hilfe eines geheimgehaltenen privaten Schlussels 
Sl-D (Decryption) entschlusselt . Die beiden Schliissel Sl-E 
und Sl-D sind Partnerschlussel eines asymmetrischen Ver- 
schlusselungsverf ahrens . Der private Schliissel Sl-D lasst 
sich durch konstruktive und/oder elektronische Maftnahmen im 
Zentralrechner 12 geheimhalten . 
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Die Dienst-Nutzerdaten 48 warden in den Diensterbringungs- 
rechnern 22 bis 26 mit voneinander verschiedenen of f entlichen 



beispielsweise die offentlichen Schlussel S2-E bzw. S3-E im 
Diensterbringungsrechner 22 bzw. 24. Anschlieliend werden die 
verschlusselten Dienst-Dienstnutzerdaten uber die Verbindung 
42 bzw. 44 ubertragen und in der Datenbank 40 verschliisselt 
gespeichert. Andererseits lassen sich die Dienst-Nutzerdaten 
48 auch verschlusselt aus der Datenbank 40 lesen, verschliis- 
selt uber die Verbindung 42 bzw. 44 zu einem Diensterbrin- 
gungsrechner 22 bzw. 24 ubertragen und dort mit Hilfe eines 
Partnerschlussels S2-D bzw. S3-D entschlusseln . 

Figur 2 zeigt Verf ahrensschritte zur Erbringung des Dienstes 
"Buchkauf" durch den Diensterbringungsrechner 22. Will der 
Dienstnutzer A ein Buch kaufen, so baut er eine Verbindung 
zwischen seinem Dienstnutzungsrechner 18 und dem Zentralrech- 
ner 12 auf, genauer gesagt mit der Zugangseinheit 36 des 
Zentralrechners' 12 . Zwischen Dienstnutzungsrechner 18 und 
Zugangseinheit 36 wird ein Authentisierungsverf ahren 60 aus- 
gefuhrt, bei dem ein Nut zerkennzeichen des Dienstnutzers A 
durch die Zugangseinheit 36 erfragt wird. An Hand des Nutzer- 
kennzeichens wird ein offentlicher Schlussel S4-E ermittelt, 
welcher der PartnerschlUssel zu dem in der Smartkarte 20 
gespeicherten Schlussel S4-D des Dienstnutzers A ist. Unter 
Verwendung des offentlichen Schlussels Sl-E des Zentralrech- 
ners 12 werden die vom Dienstnutzungsrechner 18 kommenden 
Daten verschlusselt. Die Zugangseinheit 36 entschltisselt 
diese Daten mit Hilfe des privaten Schlussels Sl-D. Die von 
der Zugangseinheit 36 zum Dienstnutzungsrechner 18 zu uber- 
tragenden Daten werden andererseits in der Zugangseinheit 36 
mit Hilfe des offentlichen Schlussels S4-E verschlusselt und 
anschlieliend uber das Internet 14 zum Dienstnutzungsrechner 
18 ubertragen. Im Dienstnutzungsrechner 18 wird zum Ent- 
schlusseln der von der Zugangseinheit 36 kommenden Daten ein 
privater Schlussel S4-D benutzt, der in der Smartkarte 20 
gesichert gespeichert ist. Vor der Benutzung des offentlichen 



Schlusseln der einzelnen Diensterbringer verschlusselt, siehe 
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Schlussels S4-E priift die Zugangseinheit 36, ob dieser 
Schlussel noch giiltig ist. 

AnschlieBend fordert die Zugangseinheit 36 ein Dienstnutzer- 
5 profil NP-A des Dienstnutzers A von der Datenbank 40 an, 
siehe Pfeil 62. An Hand der im Dienstnutzerprof il NP-A ge- 
speicherten Daten erstellt die Zugangseinheit 36 dem Dienst- 
nutzer A eine Auswahlliste mit Adressen von Diensterbrin- 
gungsrechnern, die er hSufig anwahlt . In dieser Liste ist 
10 auch die Internetadresse des Diensterbringungsrechners 22 
vermerkt . 



Der Dienstnutzer A wahlt aus der Liste einen Diensterbrin- 
gungsrechner aus, beispielsweise den Diensterbringungsrechner 

15 22, siehe Pfeil 64, In einem nachsten Verf ahrensschritt 66 
wird zwischen dem Dienstnutzungsrechner 18 und dem 
Diensterbringungsrechner 22 ein gesicherter Obertragungskanal 
aufgebaut. Der Diensterbringungsrechner 22 ubermittelt an den 
Dienstnutzungsrechner 18 seinen bffentlichen Schlussel S2-E 

20 und ein Zertifikat ZB zu seinem bffentlichen Schlussel S2-E. 
Im Dienstnutzungsrechner 18 wird das Zertifikat zu dem 5f- 
fentlichen Schlussel S2-E uberpruft. Es sei angenommen, dass 
das Zertifikat ZB echt ist. 



25 Der Dienstnutzer A verschlusselt die von ihm zu sendenden 
Daten mit Hilfe des offentlichen Schlussels S2-E. Aufierdem 
ubermittelt der Dienstnutzungsrechner 18 seinen offentlichen 
SchlUssel S4-E und einen Verweis auf ein Zertifikat zu seinem 
offentlichen Schlussel S4-E, beispielsweise einen Verweis auf 

30 das PKI-Zentrum 28 oder einen Verweis auf den Zentralrechner 
12. Der Diensterbringungsrechner 22 uberpruft das Zertifikat 
unter Verwendung mindestens eines offentlichen Schlussels, 
dem er vertraut. Das Zertifikat sei echt. Vom Diensterbrin- 
gungsrechner 22 kommende Daten werden deshalb mit Hilfe des 

35 offentlichen Schlussels S4-E verschlusselt. 
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Urn sogenannte Replay-Angrif f e und sogenannte Man-in-the- 
Middle-Angrif fe auszuschliefien, wird beim Aufbau des gesi- 
cherten Obertragungskanals 66 auch ein sogenanntes Challenge- 
Response- Verfahren eingesetzt, bei dem Zuf allszahlen zwischen 
dem Dienstnutzungsrechner 18 und dem Diensterbringungsrechner 
22 ausgetauscht werden, die sich bei jedem Verbindungsaufbau 
andern. 

Der Dienstnutzer A wahlt uber den gesicherten Obertragungska- 
nal ein Buch aus und bekundet durch Betatigen einer Schalt- 
flache sein Kauf interesse . Danach wird zwischen dem 
Diensterbringungsrechner 22 und dem Zentralrechner 12 eine 
Verbindung aufgebaut, genauer gesagt zwischen dem 
Diensterbringungsrechner 22 und der Zugangseinheit 36 des 
Zentralrechners 12. 

In einem Verf ahrensschritt 68 wird die Berechtigung des 
Diensterbringungsrechners 22 gepruft. Fur diese Prufung uber- 
mittelt der Diensterbringungsrechner 22 ein Zertifikat ZB zu 
seinem offentlichen Schlussel S2-E an die Zugangseinheit 36. 
Die Zugangseinheit 36 uberpruft dieses Zertifikat ZB. 

Die vom Diensterbringungsrechner 22 kommenden Daten sind mit 
Hilfe des offentlichen Schlussels Sl-E des Zentralrechners 12 
verschlusselt . Der Zentralrechner 12 kann diese Daten unter 
Verwendung seines privaten Schlussels Sl-D entschlusseln . 

Auch der Zentralrechner 12 sendet ein Zertifikat zu seinem 
offentlichen Schlussel Sl-E an den Diensterbringungsrechner 
22. Vor der Verwendung des Schlussels Sl-E pruft der 
Diensterbringungsrechner 22 das Zertifikat zu dem offentli- 
chen Schlussel Sl-E. 

Der Diensterbringungsrechner 22 fordert nun Kundendaten KD-A 
des Dienstnutzers A vom Zentralrechner 12 an. In einem Ver- 
fahrensschritt 70 werden die Kundendaten KD-A aus der Daten- 
bank 40 ausgelesen und an den Diensterbringungsrechner 22 
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ubertragen. Die Kundendaten KD-A sind dabei mindestens einmal 
verschlusselt, und zwar mit dem offentlichen Schlussel S2-D. 

Aufgrund der Kundendaten KD-A erstellt der Diensterbringungs- 
rechner 22 automatisch einen Kaufvertrag . Die Vertragsdaten 
werden vom Dienstnutzungsrechner 18 nach der Eingabe einer 
PIN (Personal Identity Number), einer TAN (Transaction Num- 
ber) oder eines biometrischen Merkmals unter Verwendung des 
privaten Schlussels S4-D unterzeichnet . Auch der 
Diensterbringungsrechner 22 des Diensterbringers B unter- 
zeichnet die Vertragsdaten mit seinem privaten Schlussel S2- 
D. Die unterzeichneten Daten werden zwischen dem Dienstnut- 
zungsrechner 18 und dem Diensterbringungsrechner 22 Uber den 
gesicherten Obertragungskanal ausgetauscht . 

Im Diensterbringungsrechner 22 wird die Unterschrift des 
Dienstnutzungsrechners 18 gepruft. Dazu lasst sich der 6f- 
fentliche Schlussel S4-E nutzen. Es sei angenommen, dass die 
Unterschrift echt ist . Der Dienstnutzungsrechner 18 pruft die 
Unterschrift des Diensterbringungsrechners 22 unter Verwen- 
dung des offentlichen Schlussels S2-E. 

In einem Verf ahrensschritt 74 stellt der Diensterbringungs- 
rechner 22 eine Anfrage zur Zahlungsabwicklung mit dem 
Dienstnutzer A und gibt dabei den Betrag an, fur den der 
Dienstnutzer A bei ihm Bucher gekauft hat, beispielsweise DM 
300. Die Anfrage und der Betrag werden mit Hilfe des privaten 
Schlussels S2-D einer Unterschrift SignB unterschrieben . 

Die Prufeinheit 38 uberpruft die Unterschrift SignB mit Hilfe 
des offentlichen Schlussels S2-E. Es sei angenommen, dass die 
Unterschrift echt ist. Die Prufeinheit 38 pruft mit Hilfe 
eines unten an Hand der Figur 3 naher eriauterten Verfahrens, 
ob ein Kredit institut eine Deckungszusage ubernimmt, ob der 
Betrag im Rahmen einer Kreditvereinbarung mit einem Kreditin- 
stitut liegt oder ob der Dienstnutzer A seine Erlaubnis zur 
sofortigen Abbuchung von seinem Konto gegeben hat. Es sei 
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angenommen, dass eine Erlaubnis zur sofortigen Abbuchung 
vorliegt . Deshalb beschafft die Priif ungseinheit 38 nun nach 
einem unten an Hand der Figur 4 erlSuterten Verfahren ein 
Zahlungsattribut . Die Priif einheit 38 bucht dann den Betrag 
5 von DM 300 vom Konto des Dienstnutzers A ab und uberweist den 
Betrag auf ein Treuhandkonto, um ihn spater an den Betreiber 
des Diensterbringungsrechners B zu iiberweisen. 

In einem Verf ahrensschritt 76 wird zum Diensterbringungsrech- 
10 ner 22 ein Zahlungsattribut ubertragen, in dem bestatigt 

wird, dass der Dienstnutzer A den Betrag von DM 300 bezahlt 
bzw. bezahlt hat. Das Zahlungsattribut wird mit Hilfe des 
privaten Schliissels Sl-D des Zentralrechners 12 unterschrie- 
ben und zum Diensterbringungsrechner 22 iibermittelt, gegebe- 
15 nenfalls auch in verschlusselter Form. 

In einem Verf ahrensschritt 78 bestatigt der Diensterbrin- 
gungsrechner 22 dem Dienstnutzungsrechner 18, dass der Auf- 
trag angenommen und die Auslieferung der Bucher veranlasst 
20 worden ist. Zur Obertragung der Auf t ragungsbestat igung wird 
der gesicherte Obertragungskanal zwischen dem Diensterbrin- 
gungsrechner 22 und dem Dienstnutzungsrechner 18 genutzt. 

In einem Verf ahrensschritt 80 archiviert der Diensterbrin- 
25 gungsrechner 22 die den Kaufvertrag betreffenden Daten in der 
Datenbank 40, gegebenenf alls verschlusselt . 

Nachfolgende weitere Verf ahrensschritte 82 sind durch Punkte 
angedeutet. Der Diensterbringungsrechner 22 veranlasst uber 

30 ein Logist iksystem die Auslieferung des Buches an den Dienst- 
nutzer A. Bei der Obergabe des Buches bestatigt der Dienst- 
nutzer A den Erhalt. Die Bestatigung wird beispielsweise uber 
das Mobilf unknetz 16 mit Hilfe einer SMS-Nachricht (Short 
Message Service) an den Zentralrechner 12 ubertragen und dort 

35 fur spatere Nachweiszwecke gespeichert. Gleichzeitig wird die 
Oberweisung des Betrages von DM 300 von dem Treuhandkonto auf 
ein Konto des Diensterbringers B uberwiesen. 
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Figur 3 zeigt die Bearbeitung der Zahlungsf ahigkeitsanf rage . 
Die Zahlungsf ahigkeitsanf rage wird von der Prufeinheit 38 an 
einen Bankrechner 100 gestellt, der einem Kreditinstitut Oder 
einer Bank gehort. Die Zahlungsf ahigkeitsanf rage wird durch 
einen Pfeil 102 dargestellt und enthalt Angaben zum Dienst- 
nutzer A sowie Angaben zum Betrag. Der Bankrechner 100 (iber- 
priift, ob eine Deckungszusage erteilt werden kann. Im Ausftih- 
rungsbeispiel ist dies der Fall und mit Hilfe einer Auskunft 
104 teilt der Bankrechner 100 der Prufeinheit 38 mit, dass 
der Dienstnutzer A die Erlaubnis erteilt hat, von seinem 
Konto sofort abzubuchen. Bei einem anderen Ausf uhrungsbei- 
spiel teilt der Bankrechner 100 beispielsweise mit, dass der 
Dienstnutzer einen Kreditrahmen von zehn tausend D-Mark hat. 

Fur die Obertragung der Zahlungsf ahigkeitsanf rage 102 und die 
Obertragung der Auskunft 104 lassen sich ebenfalls digitale 
Schlussel einer Inf rastruktur und zugehorige Zertifikate 
nutzen, urn einem Missbrauch vorzubeugen. Bei einem Ausfuh- 
rungsbeispiel werden die zwischen der Prufeinheit 38 und dem 
Bankrechner 100 ausgetauschten Daten nach einem digitalen 
Verschlusselungsverf ahren ver schlussel t . 

Die Auskunft 104 des Bankrechners 100 wird in dem Dienstnut- 
zerprofil 46 gespeichert. Die Auskunft ist vertraulich und 
wird dem Diensterbringungsrechner 22 nicht zur Verfugung 
gestellt . 

Figur 4 zeigt die Bearbeitung einer Zahlungsattributanf rage 
122, die nach dem Erhalt der Auskunft 104 von der Prufeinheit 
38 an einen Zahlungsattribut-Server 120 gerichtet wird, der 
auch als TrustedA-Rechner bezeichnet wird. Beispielsweise 
wird ein TrustedA-Rechner der Firma SSE eingesetzt, siehe 
www. sse . ie . 

Die Zahlungsattributanf rage 122 enthalt u.a. die folgenden 
Daten: 
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- den Betrag von DM 300, 

- den Namen der Prufeinheit 38, die das Zahlungsattribut 
beantragt, und 

- den Namen des Diensterbringungsrechners 22, fur den das 
Zahlungsattribut bestimmt ist. 

Der Zahlungsattribut -Server 120 stellt ein Zahlungsattribut 
124 aus, mit dem folgende Daten zertif iziert , d.h. mit einer 
digitalen Unterschrift SignAS des Attribut-Servers versehen, 
werden : 

- der Betrag von DM 300, 

- den Namen der Prufeinheit 38, die das Zahlungsattribut 124 
beantragt, 

- den Namen des Diensterbringungsrechners 22, fur den das 
Zahlungsattribut 124 bestimmt ist, und 

- ein Ablauf datum. 

Das Zahlungsattribut wird in einem Verf ahrensschritt 124 vom 
Attribut-Server 120 zur Prufeinheit 38 Ubermittelt . Die Pruf- 
einheit pruft die Angaben und die Unterschrift SignAS mit 
Hilfe mindestens eines offentlichen Schlussels, der als ver- 
trauensvoll eingestuft ist. 

Auch der Diensterbringungsrechner 22 pruft bei einem Ausfiih- 
rungsbeispiel die Echtheit des Zahlungsattributes 124. Der 
Kauf wird nur bestatigt, wenn das Zahlungsattribut echt ist. 

Die an Hand der Figuren 1 bis 34 erlauterten Einheiten lassen 
sich mit Hilfe von Programmen realisieren. Eingesetzt werden 
aber auch Schaltungseinheiten ohne einen Prozessor. Die Funk- 
tionen des Zentralrechners 12 lassen sich auch auf mehrere 
Rechner aufteilen, die an verschiedenen Stellen des Daten- 
ubertragungsnetzes 10 liegen. 



Bei einem anderen Ausf uhrungsbeispiel werden unterschiedliche 
Schlussel zum Verschlusseln der Daten zwischen dem Zentral- 
rechner 12 und dem Diensterbringungsrechner einerseits und 
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zum Verschlusseln der in der Datenbank 40 zu speichernden 
Dienst-Dienstnutzerdaten 48 verwendet . Durch eine Doppelver- 
schliisselung der Obertragung auf den Verbindungen 42 und 44 
lasst sich die Sicherheit weiter erhdhen. 

Durch den Betreiber des Zentralrechners 12 werden die 
Diensterbringer vor der Erteilung einer Zugangsberechtigung 
auf ihre Vertrauenswurdigkeit hin uberpruft. Auch neue 
Dienstnutzer werden auf ihre Vertrauenswurdigkeit hin uber- 
pruft. Durch diese Vorgehensweise lasst sich die Akzeptanz 
der erlauterten Verfahren sowohl auf der Seite der Diensterb- 
ringer als auch auf der Seite der Dienstnutzer weiter erhd- 
hen. 



Bei einem weiteren Ausf uhrungsbeispiel werden die Funktionen 
des TrustedA-Rechners 120 durch den Zentralrechner 12 er- 
bracht. Wird der Zentralrechner 12 bei einem nachsten Ausf uh- 
rungsbeispiel von einer Bank betrieben, so lassen sich auch 
die Funktionen des Bankrechners 100 durch den Zentralrechner 
12 erbringen. 

Die Funktionen des Zentralrechners 12 werden bei einem ande- 
ren Ausf uhrungsbeispielen von mehreren Rechnern erbracht, die 
uber das Internet 14 oder uber Standleitungen miteinander 
verbunden werden. 
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Patentanspruche 

1. Verfahren zum Erbringen von Diensten in einem Datenuber- 
tragungsnetz (10) , 

5 

bei dem eine Zugangsf unktion (36) fUr mehrere Dienstnutzungs- 
rechner (18) abhangig von Anf orderungen von der Seite eines 
Dienstnutzungsrechners (18) eine Verbindung zwischen dem 
Dienstnutzungsrechner (18) und einem von mehreren durch einen 
10 Dienstnutzer (A) auswahlbaren Diensterbringungsrechner (22 
bis 26) ermoglicht, 

bei dem in einer zentralen Datenbank (40) fur die verschiede- 
nen Dienstnutzer (A) zu sichernde Nutzerdaten (46) gespei- 
15 chert werden, die zur Erbringung der Dienste verschiedener 
Diensterbringungsrechner (22 bis 26) erforderlich sind, 

bei dem nach der Verbindungsauf nahme zwischen einem Dienst- 
nutzungsrechner (18) und einem ausgewahlten Diensterbrin- 

20 gungsrechner (22) im Rahmen der Diensterbringung fur den den 
Dienstnutzungsrechner (18) nutzenden Dienstnutzer (A) an eine 
von mehreren Diensterbringungsrechner (22 bis 26) genutzte 
Prufeinheit (38) eine Anforderung gestellt wird, die nur 
unter Verwendung der zu sichernden Nutzerdaten (46) des 

25 Dienstnutzers (A) bearbeitet werden kann, 

bei dem die Prufeinheit (38) die Anforderung (74) unter 
Zugriff auf die zu sichernden Nutzerdaten (46) des Dienstnut- 
zers (A) bearbeitet und das Bearbeitungsergebnis (76) an den 
30 die Anforderung (74) stellenden Diensterbringungsrechner (22) 
iibermittelt, 



35 



und bei dem der Diensterbringungsrechner (22) seinen Dienst 
abhangig vom Bearbeitungsergebnis (76) erbringt . 
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2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet , dass die Diensterbringungsrechner (22 bis 26) 
verschiedenen Betreibern gehoren, 

5 dass nach der Anwahl eines Diensterbringungsrechners dessen 
Berechtigung zum Stellen einer Anforderung mit Hilfe eines 
Berechtigungspriifverf ahrens (68, 74) gepruft wird f 

und dass bei bestehender Berechtigung das Bearbeitungsergeb- 
10 nis (76) und bei fehlender Berechtigung kein Bearbeitungser- 
gebnis (76) ubermittelt wird. 

3. Verfahren nach Anspruch 1 oder 2, dadurch g e - 
kennzeichnet , dass die zu sichernden Nutzerdaten 

15 (46) verschlusselt gespeichert werden, 

und dass die Diensterbringungsrechner (22 bis 24) keinen 
Zugang zu einem zum Entschlusseln der zu sichernden Nutzerda- 
ten (46) erforderlichen digitalen Schlussel (Sl-D) haben. 

20 

4. Verfahren zum Erbringen von Diensten in einem Dateniiber- 
tragungsnetz (10) , insbesondere nach einem der vorhergehenden 
Anspruche, dadurch gekennzeichnet, dass in 
einer Datenbank (40) Dienst -Nut zerdaten (48) gespeichert 

25 sind, die dienstbezogene Daten fur die Dienstnutzer (A) ein- 
zelner Diensterbringungsrechner (22 bis 26) enthalten, 

dass nach der Auswahl eines Diensterbringungsrechners (22 bis 
26) dessen Berechtigung zum Empfangen von Dienst -Nut zerdaten 
30 (48) betreffend den durch ihn erbrachten Dienst geprUft wird, 

dass an den ausgewahlten Diensterbringungsrechner (22) bei 
bestehender Berechtigung die Dienst-Nutzerdaten (48) desjeni- 
gen Dienstnut zers (A) Ubermittelt werden, der den ausgewahl- 
35 ten Diensterbringungsrechner (22) ausgewahlt hat, 
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und dass der Diensterbringungsrechner (22) seinen Dienst 
unter Verwendung der iibermittelten Dienst-Nutzerdaten (48) 
erbringt . 

5. Verfahren nach Anspruch 4, dadurch g e k e n n - 
zeichnet , dass die Dienst-Nutzerdaten (48) verschlUs- 
selt gespeichert und ubertragen werden, 

und dass verschiedene Diensterbringungsrechner (22, 24) ver- 
s.chiedene digitale Schlussel (S2-D, S3-D) zum Entschliisseln 
der Dienst-Nutzerdaten (48) verwenden. 

6. Verfahren nach Anspruch 4 oder 5, dadurch ge - 
kennzeichnet , dass die Dienst-Nutzerdaten (48) mit 
einem zentralen Verschlusselungsverf ahren verschlusselt sind, 

und dass zum VerschlQsseln gemaft zentralem Verschlusselungs- 
verfahren ein fur die Dienst-Dienstnutzerdaten verschiedener 
Diensterbringungsrechner (22 bi 26) gleicher digitaler 
Schlussel verwendet wird. 

7. Verfahren nach einem der Anspruche 4 bis 6, dadurch 
gekennzeichnet , dass in einer von mehreren 
Diensterbringungsrechnern (22 bis 26) genutzten Datenbank 
(40) digitale Daten uber Zahlungsvorgange fur verschiedene 
Diensterbringungsrechner (22 bis 26) gespeichert werden (80) . 

8. Verfahren nach einem der vorhergehenden Anspruche, da- 
durch gekennzeichnet, dass die Berechtigung des 
Dienstnutzers (A) unter Verwendung eines Berechtigungspruf - 
verfahrens (60) gepruft wird, 

und dass die Auswahl nur beim Vorliegen einer Berechtigung 
zugelassen wird. 



9. Verfahren nach einem der vorhergehenden Anspruche, da- 
durch gekennzeichnet, dass die Berechtigungs- 
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prufung unter Verwendung von digitalen Schliisseln durchge- 
fuhrt wird, die von mindestens einer Zertif izierungsstelle 
(28) erzeugt worden sind, 

und dass die Zertif izierungsstelle (28) Teil einer Zertifi- 
zierungs- Inf rastruktur ist. 

10. Verfahren nach Anspruch 9, dadurch gekenn- 
zeichnet , dass ein geheimzuhaltender digitaler Schlus- 
sel (S4-D) fur das Verschlusseln eingesetzt wird, 

und dass der geheimzuhaltende digitale Schlussel (S4-D) in 
einer elektronisch gesicherten Speichereinheit (20) gespei- 
chert ist. 

11. Verfahren nach Anspruch 10, dadurch gekenn- 
zeichnet , dass die gesicherte Speichereinheit (20) 
Bestandteil einer Chipkarte (20) mit einem Prozessor ist, 

und dass auf die gesicherte Speichereinheit (20) nach einer 
Berechtigungsprufung nur mit dem Prozessor zugegriffen werden 
kann . 

12. Verfahren nach einem der vorhergehenden Anspruche, da- 
durch gekennzeichnet, dass die Anforderung (74) 
die Absicherung einer Zahlung betrifft. 

13. Verfahren nach Anspruch 12, dadurch gekenn- 
zeichnet , dass die Prufeinheit (38) zur Bearbeitung der 
Anforderung eine Anfrage (102) zum Erhalt eines Zahlungszer- 
tifikats (104) an einen Zertif izierungsrechner (120) stellt, 

und dass der Zertif izierungsrechner (120) ein digitales Zah- 
lungszertif ikat (124) erzeugt, das die Zahlung absichert, 



und dass das Zahlungszertif ikat uber die Prufeinheit (38) zum 
Diensterbringungsrechner (22) weitergeleitet wird. 
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14 . Verfahren nach Anspruch 12, dadurch g e k e n n - 
zeichnet, dass die Prufeinheit (38) bei der Bearbeitung 
der Anforderung (74) ein Zahlungszertif ikat erzeugt, das die 
5 Zahlung absichert, 

und dass das Zahlungszertif ikat an den Diensterbringungsrech- 
ner (22) weitergeleitet wird. 



10 15. Verfahren nach Anspruch 13 oder 14, dadurch g e - 
kennzeichnet , dass das Zahlungszertif ikat (124) mit 
Hilfe eines digitalen Schlussels erzeugt wird. 

16. Verfahren nach einem der vorhergehenden Anspruche, d a - 
15 durch gekennzeichnet, dass die Diensterbrin- 
gungsrechner (22 bis 26) die Funktion elektronischer Kauf- 
plattformen fur verschiedene Produkte oder Produktgruppen 
erbringen und/oder elektronischer Dienstleistungsplattf ormen 
fur verschiedene Dienstleistungen oder Dienstleistungsgrup- 
20 pen. 



17. Programm mit einer Bef ehlsf olge, bei deren Ausfuhrung 
durch einen Prozessor die Verf ahrensschrit te nach einem der 
vorhergehenden Anspruche ausgefuhrt werden. 

18 . Datenverarbeitungsanlage (12) , gekennzeichnet 
durch ein Programm nach Anspruch 17. 
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